中国最大のサイバーセキュリティ企業が、インストーラー内に独自のSSL秘密鍵を備えたAIアシスタントを出荷したようです。 Qihoo 360、ノートンやマカフィーのようなものを思い浮かべますが、中国市場全体で支配的です 彼らの新しいAI製品である360 Security Clawは、@OpenClawにラッパーをバンドルしているようです。 インストーラーパッケージの中には、ダウンロードした誰でもアクセス可能で、ドメイン*.myclaw.360.cn のプライベートSSL証明書キーが入っていました。 SSL秘密鍵は本質的にウェブサイトの暗号化された接続のマスターパスワードです。 これにより、攻撃者は360のサーバーを偽装したり、静かにユーザートラフィックを傍受したり、完全に正当に見えるログインページを偽造したり、AIエージェントを完全に乗っ取ったりすることができます。 この証明書は2027年4月まで有効で、プラットフォーム上のすべてのサブドメインをカバーしています。 今は公開されています。 創業者は「パスワードを絶対に漏らさない」と約束して製品を発売しました。 リリース時にそうなったのですか? 4億6100万人のユーザー、100億ドルの評価額、そして誰も出荷前にzipファイルを確認しなかった。 証明書の有効期限は2027年4月です。